Проект Указания Банка России “О порядке проведения оператором автоматизированной информационной системы страхования операционного аудита" (по состоянию на 11 июля 2024 г.)
Настоящее Указание на основании подпункта 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" устанавливает порядок проведения оператором автоматизированной информационной системы страхования операционного аудита.
1. В соответствии с подпунктом 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее - Закон "Об организации страхового дела в Российской Федерации") оператор автоматизированной информационной системы страхования, указанной в пункте 1 статьи 33.11 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее - соответственно оператор АИС страхования, АИС страхования) обязан не реже одного раза в два года проводить операционный аудит в порядке, установленном настоящим Указанием.
2. Оператор АИС страхования проводит операционный аудит путем оценки эффективности следующих элементов деятельности оператора АИС страхования:
системы управления рисками;
процедур, направленных на обеспечение операционной надежности оператора АИС страхования;
обеспечения оператором АИС страхования защиты и конфиденциальности информации, обрабатываемой в АИС страхования;
мер, применяемых для обеспечения безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
обеспечения оператором АИС страхования бесперебойности и непрерывности функционирования АИС страхования.
3. Оценка элементов деятельности оператора АИС страхования, указанных в пункте 1 настоящего Указания, включает:
оценку соответствия элемента деятельности оператора АИС страхования и внутренних документов оператора АИС страхования требованиям федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхование;
оценку достаточности необходимых для осуществления элемента деятельности оператора АИС страхования ресурсов;
оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры оператора АИС страхования;
достижение или возможность достижения пороговых уровней допустимого времени простоя и (или) деградации технологических процессов оператора АИС страхования, предусмотренных приложением к Положению Банка России от 30 июня 2023 года N 819-П "О требованиях к операционной надежности, которые обязан соблюдать оператор автоматизированной информационной системы страхования";
тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию, в автоматизированных системах и приложениях с использованием информационно-коммуникационной сети "Интернет", а также на официальном сайте оператора АИС страхования в информационно-коммуникационной сети "Интернет" на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
4. В целях проведения операционного аудита оператор АИС страхования вправе привлекать одно или несколько юридических лиц для оказания консультационных услуг в области управления рисками на финансовом рынке и в области информационных технологий (далее - консультант).
5. Оператор АИС страхования не вправе разглашать информацию, используемую в целях проведения операционного аудита, а также информацию, содержащуюся в отчете, подготовка которого предусмотрена пунктом 6 настоящего Указания, лицам, не привлеченным в целях проведения операционного аудита, за исключением случая, установленного пунктом 8 настоящего Указания.
6. По результатам операционного аудита оператор АИС страхования подготавливает отчет, который должен содержать:
реквизиты консультанта (полное наименование, идентификационный номер налогоплательщика, основной государственный регистрационный номер, адрес места нахождения);
информацию об элементах деятельности оператора АИС страхования, оценка которых проводилась в рамках операционного аудита;
наименование федеральных законов, иных нормативных правовых актов и нормативных актов Банка России, национальных и международных стандартов, оценка соответствия которым проводилась в ходе операционного аудита;
информацию о методиках, использованных для оценки указанных элементов деятельности оператора АИС страхования;
результаты оценок, проведенных в рамках операционного аудита, выявленные недостатки, рекомендации по их устранению.
7. Оператор АИС страхования направляет отчет, указанный в пункте 6 настоящего Указания, на рассмотрение Совета директоров (наблюдательного совета) оператора АИС страхования.
8. После рассмотрения Советом директоров (наблюдательным советом) оператора АИС страхования отчета, указанного в пункте 6 настоящего Указания, оператор АИС страхования представляет его копию в Банк России в срок не позднее 5 рабочих дней со дня подписания протокола заседания Совета директоров (наблюдательного совета) оператора АИС страхования, на котором осуществлялось рассмотрение указанного отчета.
9. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
Председатель Центрального Банка Российской Федерации |
Э.С. Набиуллина |
Пояснительная записка
к проекту Указания Банка России "О порядке проведения оператором автоматизированной информационной системы страхования операционного аудита"
В целях установления требований к порядку проведения оператором автоматизированной информационной системы страхования (далее - АИС страхования) операционного аудита Банк России разработал проект Указания "О порядке проведения оператором автоматизированной информационной системы страхования операционного аудита" (далее - Проект).
Проект определяет, что является предметом проверки операционного аудита в соответствии с пунктом 1 статьи 33.11 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации".
Также Проектом установлены требования к составу элементов, оценка которых проводится в ходе операционного аудита, а также праву привлечения консультантов к операционному аудиту.
Проект предусматривает, что оператор АИС страхования не вправе разглашать информацию, используемую в целях проведения операционного аудита, а также информацию, содержащуюся в отчете по результатам операционного аудита.
Дополнительно Проект устанавливает требования к оформлению результатов операционного аудита и порядку их предоставления Совету директоров (наблюдательному совету) оператора АИС страхования и Банку России.
Проект распространяется на деятельность оператора АИС страхования.
Предложения и замечания по проекту принимаются по электронному адресу smolyakovan@cbr.ru с 11.07.2024 по 25.07.2024.
Обзор документа
Предложены правила операционного аудита, проводимого оператором АИС страхования.
Предусмотрена оценка системы управления рисками, обеспечения операционной надежности, защиты и конфиденциальности информации, безопасности персональных данных, бесперебойности и непрерывности функционирования АИС.